F5负载均衡实施方案.doc

F5负载均衡实施方案华讯网络系统股份有限公司2008年1月目录1.F5服务器负载均衡说明31.1.F5负载均衡原理说明31.2.项目意义说明62.项目实施拓扑和地址规划72.1.项目实施拓扑72.2.地址规划、设备连接和基本配置信息统计82.2.1.地址规划：82.2.2.设备端口连接情况统计表82.2.3.路由配置82.2.4.虚拟服务器（VS）设置统计93.实施步骤和操作过程12第一步 设备上架、上电和连接网线12第二步 设备初始化13第三步 登陆设备、申请license激活设备的功能模块14第四步 BIG IP的网络层：即Network配置过程201.配置Vlan202.配置VLAN地址，即Self IP213.配置路由22第五步 BIG IP的应用层：即Local traffic配置过程221.配置Monitor222.配置pool233.配置profile244.配置Virtual server27第六步 BIG IP HA配置过程291.配置系统时间292.配置设备工作模式293.配置redundancy mode304.HA的确认311. F5服务器负载均衡说明1.1. F5负载均衡原理说明F5BIG-IP应用交换机对服务器作负载均衡时主要包括以下几个过程： 截获和检查分析流量：保证只有合适的数据包才能通过； 服务器监控和健康检查：随时了解服务器群的可用性状态； 负载均衡和应用交换功能：通过各种策略或负载均衡算法将访问请求导向到合适的服务器，这一过程包括目标服务器的选择及地址转换（NAT）过程。 会话的保持(Persistence)：通过会话保持，保证一系列相关连的会话不会被负载均衡到不同的服务器上。 应用内容转换与应用加速：通过F5特有的流量管理操作系统TM/OS及完全代理的体系架构，实现对应用内容的双向改写与转换，以及通过SSL加速、HTTP压缩、RAM Cache、TCP优化等功能实现对应用的加速与优化。F5BIG-IP应用交换机对服务器作负载均衡是采用基于网络地址转换(NAT)的负载均衡技术 。下图所示是一个典型的F5L4/L7层交换机对服务器作负载均衡的网络拓扑：Web/APP ServerWeb/APP ServerCisco6009virtual server:80pool(name=WEB_POOL)member(server=:80)member(server=:80)member(server=:80)Incoming requestLoadBalancingBIG-IP应用交换机后面的一组服务器:80、:80、:80对外构成一台虚拟的服务器（Virtual Server）:80，对外提供服务。当一个访问虚拟服务器:80的请求到达负载均衡器以后，负载均衡器根据预先设定的负载均衡算法从服务器pool(WEB_POOL)中挑选一台服务器来服务该请求，例如选定的是:80；然后通过网络地址转换（NAT）将访问请求包的目的地址与端口转换成:80，并将数据包发给。服务器处理访问请求，并作出回应。回应的包必须返回到负载均衡器上，由负载均衡器将回应包的源地址与端口转换回虚拟服务器的地址与端口，并返回给客户。这样完成一次访问过程。BIG-IP应用交换机支持的负载均衡算法包括：l 轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。l 比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。l 优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；l 最小的连接数（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。在对用户的访问请求作负载均衡的同时，应用交换机还必须不断地监控服务器上服务的运行状态。5 BIG-IP的应用交换机支持以下服务器健康检查方法： l 服务器 (Node) - Ping (ICMP)l 服务 (Port) Connectl 可扩展的应用验证 (EAV) :不仅仅检查服务器上指定服务的端口是否处于监听状态，还要检查该服务端口能否对应用访问请求作出回应，例如可以检查对http请求或对数据库的查询能否作出回应。l 可扩展的内容验证 (ECV)：Bigip除了可以通过EAV对服务进行检查，还可以通过ECV对服务器的响应作进一步分析，通过分析读取服务器回应中的指定内容来判断服务器上服务的运行情况。会话保持(persistence)是负载均衡中一个特定而重要的概念。一个客户与服务器经常经过好几次的交互过程才能完成一笔交易。由于这几次交互过程是密切相关的，服务器在进行这些交互过程的某一个交互步骤时，往往需要了解上一次交互过程的处理结果，这就要求所有这些相关的交互过程都由一台服务器完成，而不能被负载均衡器分散到不同的服务器上。而这一系列的相关的交互过程可能是由客户到服务器的一个连接的多次会话完成，也可能是在客户与服务器之间的多个不同连接里的多次会话完成。不同连接的多次会话，最典型的例子就是基于http的访问，一个客户完成一笔交易可能需多次点击，而一个新的点击产生的请求，可能会重用上一次点击建立起来的连接，也可能是一个新建的连接。会话保持就是指在负载均衡器上有这么一种机制，可以识别做客户与服务器之间交互过程的关连性，在作负载均衡的同时，还保证一系列相关连的访问请求会保持分配到一台服务器上。1.2. 项目意义说明在此次建行项目中，为充分利用每台web服务器设备的性能和均衡web服务器的负载，依照原有状态，在新系统中采用类似现有的Radware的方式进行部署，实现web服务器的负载均衡，主要的功能和意义有：1、 由F5 BIG IP8400接受客户端的请求，再根据负载均衡算法（最少连接的方式：即将新的连接发送到连接数最少的服务器上）重新定向到相应的服务器，实现两台或者多台WEB服务器的负载均衡，客户端的请求并非直接发到服务器上，从而保护了服务器。2、 如果当两台服务器性能不够的时候，只需要再安装服务器，BIG IP上不需要进行很大的调整，并且可以在不影响业务的情况下实现服务器设备的扩容，并可以实现多台设备的负载均衡。3、 BIG IP实时的对后台服务器的状态进行健康检查，健康检查的方式可以通过icmp、http等方式，如果一旦认为某台服务器down的情况下，将不会再将请求发送到该服务器，对客户端几乎没有任何影响，此次项目中采用HTTP探测的方式进行web服务器的健康检查，一旦检查服务器不可用，新的连接将不再定向到出现故障的服务器，从而保障了应用的可用性。4、 可以启用BIG IP的防止半连接攻击的功能，防止服务器遭受大量的SYN FLOOD攻击而拒绝服务。BIG IP只有在与客户端进行完整的三次握手后才会将连接的请求定向到后台服务器，如果发现是半连接，BIG IP将不会将连接请求发向后台服务器，所有可以很好的防止服务器遭受DOS攻击。以下章节将介绍BIGIP LTM8400在本次工程的详细设置情况以及地址规划。2. 项目实施拓扑和地址规划2.1. 项目实施拓扑F5设备部署模式：采用侧挂的部署模式，两台F5设备分别侧挂在两台web核心交换机两侧，均采用单线连接模式，两台设备工作在热备模式，正常情况下单台工作，另外一台热备。F5设备的软件版本采用Version 9.3.1。2.2. 地址规划、设备连接和基本配置信息统计2.2.1. 地址规划：设备名VLAN nameIP address说明对应vlan IDBigip8400-1Vlan1真实IPVlan1浮动IPVlan2真实IPVlan2浮动IPBigip8400-2Vlan1真实IPVlan1浮动IPVlan2真实IPVlan2浮动IP2.2.2. 设备端口连接情况统计表端口设备名VLAN对端设备名对端端口VLAN2.1Bigip8400-1external2.1Bigip8400-2internal2.2.3. 路由配置默认路由：指向核心交换机HSRP地址。2.2.4. 虚拟服务器（VS）设置统计注：需要注明每个应用的真实服务器地址，应用名称，应用的TCP或者UDP端口，以及需要对外提供服务的虚拟地址。 序号虚拟服务器名地址端口对应pool对应后台真实服务器+TCP端口1SMIS-WEB4 13803 13803. 实施步骤和操作过程下面就详细介绍BIG IP6800初始化和具体配置实施的过程。第一步 设备上架、上电和连接网线1、 准备螺丝刀，上架螺丝，网线等，将设备上架；2、 连接好电源线，打开电源开关；当需要对设备关机时：先ssh或者console连接到该设备上，敲入halt，停止系统运行，如下图，当System halted后，长按设备面板上的标有X号的按钮即可关机。第二步 设备初始化1. 配置BIG-IP的准备工作：网络管理终端一台；F5的Console Cable一根；交叉网线一根，通过管理口需要用交叉线连接（通过配置好的其它端口登陆时，BIG IP的端口是自适应正反线的）；超级终端软件（推荐使用secure CRT）；SSH客户端软件 （推荐使用secure CRT）；支持HTTPS的浏览器软件，IE即可；2. 连接到BIG-IP：你可以使用超级终端或SSH方式进入到BIG-IP的命令行界面，当然也可以使用HTTPS连接到BIG-IP的图形界面。最新V9版本可以通过图形界面完成所有的配置，console下面不需要进行任何配置，这里只是介绍一下如何登陆设备使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接网管终端的Com端口，超级终端的参数设置如图：推荐使用VT100终端模式连接BIG-IP。由于中文Windows的超级终端存在Bug，可能不支持方向键输入，所以推荐使用其他超级终端软件，例如SecureCRT。你也可以使用SSH客户端连接到BIG-IP，当然前提是你已经知道BIG-IP的管理地址并将你的网管终端设置为该网段地址。 推荐使用secureCRT连接到BIG-IP,命令行的默认用户/密码是root / default，可以通过web登陆后进行修改。当你知道BIG-IP的管理地址时，就可以使用浏览器通过https:/bigip_address/ 进入图形界面管理，一台新的BIGIP默认的管理地址是45/24，可以通过液晶显示旁边的按钮对管理地址进行配置，默认的用户名密码是admin/admin，可以通过web登陆后修改。第三步 登陆设备、申请license激活设备的功能模块1、接下来就可以对设备进行设置了，首先打开用IE通过管理口WEB登陆到BIG IP上，在浏览器里输入https:/ BIG IP address，连接到BIG IP。如下图，第一次连接到该设备的时候，会跳出安全证书相关的信息，选择是。2、接着，输入https的用户名和密码登陆，第一次登陆时默认为admin/admin，可以在登陆后进行配置修改。3、第一次登陆后如下图所示，首先要做的是申请license激活设备，点击Activate： 4、然后如下图，直接点击Next：5、然后如下图，选中并复制所示的dossier方框中全部文本：6、然后，点击Step2边上的超链，访问F5网站进行申请license：7、打开申请license的网页后，如下图，在Enter your dossier方框中粘贴前面复制好的文本：8、然后如下图，Accept User Legal Agreement，选择Agree，并点击Next：9、然后如下图，生成license file，可以点击Download License将license保存为本地文本文件，并复制全部license文本内容：10、回到BIG IP界面，将复制好的license文本内容粘贴到下图所示的license方框中，选择Next即可，到此License申请激活设备完成。第四步 BIG IP的网络层：即Network配置过程Network目录下面主要进行网络层即二三层的配置，包括端口、VLAN、Spanning tree、Trunks、路由、地址和ARP等配置。由于做HA，Traffic目录下的配置可以进行同步，不过Network和System目录下的配置不能进行同步，需要登陆到两台设备上分别进行配置。1. 配置Vlan进入Vlan目录下可以对Vlan进行设置，添加和删除， 按照vlan规划表进行vlan设置。Vlan设置页面示意图如下：2. 配置VLAN地址，即Self IP在Network的Self IP目录下可以对Vlan地址进行设置，由于两台设备做HA，因此在每台设备的每个Vlan上需要配置两个地址，一个为自己的实际地址，一个为HA的Floating IP，作为对内和对外的网关。下图为self ip的配置示意图：下图为floating ip的配置示意图：3. 配置路由在network的routes目录下配置静态路由，如下图，默认路由的网关为54。两台设备的配置方法和内容都一样，此处仅以一台为例。下图即为配置完成后的界面，要添加新的路由，Add即可。配置默认路由默认网关指向核心交换机的HSRP地址：第五步 BIG IP的应用层：即Local traffic配置过程Local traffic目录下的配置是可以在HA配置完成后从一台设备同步到另外一台设备上的，因此只需要在其中一台设备上进行配置即可。Local traffic下需要配置node、monitor、pool、virtual server和profile。1. 配置Monitor点击Monitors下后，如下图所示，为定义monitor的界面，点击Create创建新的Monitor，定义一个名字为my_http的Monitor，type选择http：探测时间间隔为10s，探测次数为5次，5次探测失效，服务器down然后下图即为定义monitor的具体过程，采用默认设置，点击Finished，定义完成。2. 配置poolPool是一个包含多个member的组的概念，并绑定在相应的虚拟服务器上，定义pool的内容参见地址规划一章，所谓pool即真实服务器的组。Pool里面配置的负载均衡算法选择为：最少连接数(member)下图为pool定义的界面：3. 配置profileProfile是用来定义针对某些流量做某些处理的参数和方式。在Profile目录下点击create，创建新的profile。首先定义一个继承于source_add的profile：my_source_add，配置如下，Timeout设置为1800秒，其他采用默认配置即可。再定义一个fastL4的profile：my_fastL4，配置如下，选中loose initiation 和 loose close，其它的采用默认配置。4. 配置Virtual serverVirtual server即对外提供服务的虚拟服务器，每个VS对应相应的pool，pool的成员即为后台的服务器。点击Create创建。首先定义一个Forwarding的VS，如下图所示，作用是让BIG IP做路由转发的功能，参数设置为：Name： forwarding_vsType：NetworkDestination： / Port：0Type：forwarding（ip）Protocol profile（client）：my_fastL4接着定义VS，定义VS的时候按照地址规划的VS表进行配置。下面为一个VS的配置示例：Name:VS nameType:hostAddress:VS地址Port:VS服务端口Type:standardDefault pool:对应的真实服务器的poolDefault persistence profile:my_source_add第六步 BIG IP HA配置过程为了提高服务器提高服务的可靠性，防止单点故障，采用两台相同的BIG IP做HA，一为active，一为standby，当active的设备出现故障或者其链路出现问题的时候，就会发生切换，并产生相关的日志提醒网管人员。配置过程如下：1. 配置系统时间由于做HA，两台成员设备的系统时间必须保持一致，不能有太大的偏差，否则HA不能正常建立与同步。分别console到两台设备上，配置系统时间，配置命